Ich habe eben einen Artikel im Webtagebu.ch gelesen, der mich erschüttert. Darin schreibt Markus, wie gering das Sicherheitsbewusstsein vieler Google Calendar Benutzer doch ist und an welch sensible Daten man doch kommen kann.
Google Calendar bietet die Möglichkeit, bestimmte Kalender öffentlich zu stellen. Sinnvoll ist dieses Feature u.a. für Bands oder generell Vereine, die ihre Termine ohnehin publik machen und somit die Öffentlichkeit daran teilhaben lassen. Also ein sehr schönes Feature für Anbieter und Konsument. Leider scheint vielen Benutzern nicht klar zu sein, was sie dort freigeben, denn wenn man mal die Suche mit sensiblen Keywords füttert, lässt sich doch so einiges an interessanten Daten herausfinden, mit denen Unfug betreiben werden kann.
Der Mensch war schon immer die größte Sicherheitslücke, da kann das zu schützende System noch so gut sein. Social Engineering nennt man das und leider hat sich schon oft herausgestellt, dass selbst Administratoren bereitwillig Passwörter herausgeben, wenn man sie nur psychologisch gekonnt dazu bewegt.
Zurück zu Google Calendar. Jedem Benutzer ist es möglich sämtliche öffentlichen Kalender nach einem oder mehreren Keywords zu durchsuchen. An sich kein sonderlich sicherheitskritisches Feature würde man meinen, doch auch hier zeigt sich wieder die Schwachstelle. Der Benutzer. Es ist erstaunlich, welche Kalender öffentlich geschaltet werden. Mit den entsprechenden Keywords ist es möglich, absolut sensible Daten über Personen herauszufinden. Wann das Premiere-Abo gekündigt werden soll, ob demnächst wieder im Beate Uhse Shop bestellt wird und wann der nächste Swinger Parkplatztreff ist.
Das sind natürlich schon harte Facts, die Headhuntern aufschlussreiche Informationen über den evtl. Neuzugang der Firma liefern können. Betrachtet man das Ganze aber aus der Sicht eines Hackers, so wird es noch übler. Es ist bekannt, dass Passwörter häufig einen Bezug zur es verwendenden Person beinhalten. Nicht selten bestehen Passwörter aus Tiernamen, Geburtstagen oder gar dem Autokennzeichen. Früher musste ein Hacker häufig direkten Kontakt bspw. über Instant Messaging oder aber IRL (in real life) mit der Person aufbauen, um gekonnt solche Informationen aus ihr herauslocken zu können.
Mittlerweile liefern die Opfer ihre Daten schon fast von selbst.
